В Emerson AMS Device Manager исправлена критическая уязвимость

В системе управления активами AMS Device Manager от компании Emerson исправлены серьезные уязвимости, позволяющие выполнить код и внедрить вредоносное ПО. Проблема затрагивает версии AMS Device Manager от 12.0 до 13.5.

С помощью уязвимости CVE-2018-14804 злоумышленник может запустить специальный скрипт и удаленно выполнить код. По системе оценивания опасности уязвимостей CVSS v3 она получила максимальные 10 баллов.

Уязвимость CVE-2018-14808 позволяет пользователям без прав администратора вносить изменения в исполняемые файлы и файлы библиотек в уязвимых продуктах. По системе оценивания опасности уязвимостей CVSS v3 проблема получила 8,2 балла из максимальных 10. Проэксплуатировать данную уязвимость нельзя, если активирована функция внесения приложений в белые списки, поскольку в таком случае файлы не могут быть перезаписаны.

Для предотвращения эксплуатации вышеописанных уязвимостей пользователям рекомендуется установить соответствующие обновления, а также развертывать и настраивать AMS Device Manager согласно руководству по установке, доступному на портале поддержки Emerson Guardian Support Portal.